La semana pasada, en Malwarebytes Labs, echamos un vistazo a un devastador ataque de compromiso de correo electrónico de negocios , payasadas en la web y los nuevos peligros de Deepfakes . También verificamos algunos problemas de errores de Chrome y realizamos las inmersiones más profundas en las pruebas de ADN .

Otras noticias de ciberseguridad.

• Adobe Flash bug: ¡ consigue parches ! (Fuente: Adobe)
• Acceso accidental al foro de Tesla  otorgado (Fuente: Ofertas de Dan)
• Búsqueda de JavaScript en otras pestañas del navegador [ PDF ] (Fuente: Arxiv)
• LastPass sufrió un corte de energía, otras  frustraciones (Fuente: The Register)
• El Departamento de Justicia de los Estados Unidos investiga  si  el rally de Bitcoin del año pasado fue el resultado de la manipulación  (Fuente: Bloomberg)
• Tumblr combate el contenido de explotación (Fuente: Tumblr)
• Accidente aéreo utilizado como cebo de phishing (Fuente: Gizmodo)
• Se verdadera identidad hacker tessa88 reveló ? (Fuente: Grupo Insikt)
• Más aplicaciones falsas en Google Play  descubiertas (Fuente: ESET)
• Grandes pérdidas por fraude de pagos en línea   para alcanzar los $ 48 mil millones anuales (Fuente: Help Net Security)

¡Mantente a salvo, todos!

Los documentos judiciales publicados recientemente muestran que la cadena de cine con sede en Europa Pathé perdió una pequeña fortuna debido a una estafa de compromiso de correo electrónico comercial (BEC)  en marzo de 2018. ¿Cuánto cuesta? Un sorprendente US $ 21.5 millones (aproximadamente 19 millones de euros). El ataque, que duró aproximadamente un mes, le costó a la compañía el 10 por ciento de sus ganancias totales.

¿Qué es el compromiso de correo electrónico de negocios?

El compromiso del correo electrónico empresarial es un tipo de ataque de phishing, salpicado de un toque de ingeniería social específica. Un estafador pretende ser el CEO de una organización, luego comienza a bombardear al CFO con solicitudes urgentes de una transferencia de dinero. Las solicitudes son generalmente para transferencias electrónicas (difíciles de rastrear) y, a menudo, se enrutan a través de Hong Kong (muchas transferencias bancarias, incluso más difíciles de rastrear).

Los estafadores a veces compran nombres de dominio para que los correos electrónicos falsos se vean aún más convincentes. Estos ataques se basan en la importancia social del CEO: nadie quiere cuestionar al jefe. Si una organización no tiene garantías contra estos ataques, un estafador probablemente será muy rico. Solo se necesita una estafa exitosa para generar un gran recorrido, en cuyo punto el estafador simplemente desaparece en el éter.

¿Lo que pasó aquí?

Esta estafa BEC en particular es interesante porque resalta un enfoque ligeramente diferente del ataque. Los estafadores abandonaron enfrentando al falso CEO contra el CFO real a favor de falsificar las misivas de la oficina central francesa a la gerencia holandesa.

Todo comienza con el siguiente correo:

“Actualmente estamos llevando a cabo una transacción financiera para la adquisición de una empresa extranjera con sede en Dubai. La transacción debe permanecer estrictamente confidencial. Nadie más debe saberlo para darnos una ventaja sobre nuestros competidores «.

Aunque el CFO y el CEO lo consideraron extraño, siguieron adelante y enviaron más de 800,000 en euros. Siguieron más solicitudes, incluidas algunas mientras el CFO estaba de vacaciones; ambos ejecutivos fueron despedidos después de que la oficina central se dio cuenta. Aunque no estuvieron involucrados en el fraude, Pathé dijo que podían, y deberían, haber notado las «señales de alerta». No lo hicieron, y no había una red de seguridad en su lugar, por lo que el intento de compromiso del correo electrónico comercial fue devastadoramente exitoso.

El juego de la vergüenza

Muchos casos de  fraude de BEC no se denuncian porque nadie quiere admitir voluntariamente que fueron víctimas. Como resultado, lo primero que se suele escuchar es en los procedimientos judiciales. Es difícil adivinar cuánto se pierde realmente con el fraude de BEC, pero el FBI previamente arrojó una cifra de $ 2.1 mil millones de dólares . La cifra real podría fácilmente ser mayor.

¿Cómo pueden las empresas combatir esto?

1. Verifique las cuentas de redes sociales y otros portales en línea de sus ejecutivos, y haga que los que están conectados a finanzas hagan sus perfiles lo más privados y seguros posible. Sin duda, puede reducir el espacio en línea de un CFO, incluso si no puede eliminarlo por completo.
2. La autenticación es la clave. El CFO y el CEO, o quien sea responsable de la autorización de transferencia, debe tener un proceso especial establecido para las aprobaciones. No debería basarse en el correo electrónico, ya que así es como las personas terminan en problemas de estafa de BEC en primer lugar. Si tiene un método de comunicación único y seguro, entonces utilícelo. Si puede bloquear aprobaciones con seguridad adicional como la autenticación de dos factores , hágalo. Algunas organizaciones hacen uso de aplicaciones de autenticador fuera de línea a medida en dispositivos personales. ¡La solución está ahí fuera!
3. Si tiene muchas oficinas y diferentes sucursales mueven el dinero de forma independiente, se aplican las mismas reglas: encuentre un método de autenticación coherente que se pueda usar en múltiples ubicaciones. Esto seguramente habría salvado a Pathé de perder $ 21.5 millones.
4. Cuando no hay otra forma de bloquear las cosas, es hora de abrir el teléfono y confiar en la autenticación verbal. Si bien esto puede causar una pequeña cantidad de problemas empresariales (si está en el otro lado del mundo, ¿está su CFO recibiendo llamadas a las 2:00 am?), Es mejor que perder todo.

Una amenaza que vale la pena abordar.

El compromiso de los correos electrónicos de negocios continúa creciendo en popularidad entre los estafadores, y todos nosotros tenemos que combatirlo. Si su organización no toma en serio a BEC, usted podría fácilmente recibir una llamada telefónica de su gerente de banco. Mantener sus finanzas en el negro es una prioridad, y los BEC son una de las amenazas más insidiosas, ya sea que distribuya películas, servicios de TI o cualquier otra cosa. No dejes que las personas malintencionadas decidan cuándo llamar una envoltura.

Tu jefe te contacta por Skype. Usted ve su cara y escucha su voz, pidiéndole que transfiera una cantidad considerable de dinero a una empresa de la que nunca haya oído hablar. ¿Pedirías una confirmación por escrito de sus órdenes? ¿O simplemente seguirías sus instrucciones?

Ciertamente me sorprendería tal solicitud, pero, de nuevo, esto no es una transacción normal para mí y mi jefe. Pero, dada la tasa de éxito del fraude de  CEO  (que fue mucho menos convincente), los actores de amenazas solo necesitarían encontrar a la persona adecuada con quien contactar para poder engañar con éxito a los empleados para que envíen el dinero.

Imagine la tasa de éxito del fraude de CEO donde los estafadores podrían replicar la cara y la voz de su jefe en una llamada de Skype. Usando las técnicas de Deepfake, pueden alcanzar ese nivel en un futuro no muy lejano.

¿Qué es Deepfake?

La palabra «Deepfake» se creó al combinar «aprendizaje profundo» y «falso» juntos. Es un método para crear imágenes humanas basadas en inteligencia artificial (IA). En pocas palabras, los creadores alimentan datos de computadora que consisten en muchas expresiones faciales de una persona y encuentran a alguien que puede imitar la voz de esa persona. El algoritmo AI puede entonces coincidir con la boca y la cara para sincronizarse con las palabras habladas. Todo esto resultaría en una «sincronización de labios» casi perfecta con la cara y la voz correspondientes.

Comparado con las antiguas técnicas de Photoshop para crear pruebas falsas, esto se calificaría como «videoshop 3.0».

¿De dónde vino?

La primera conmoción sobre esta técnica surgió cuando un usuario de Reddit, por el nombre de DeepFakes, publicó videos explícitos de celebridades que parecían realistas. Él generó estos videos al reemplazar los rostros de los actores pornográficos originales con los de las celebridades. Al usar el aprendizaje profundo, estos «intercambios de caras» eran casi imposibles de detectar.

DeepFakes publicó el código que usó para crear estos videos en GitHub y pronto, mucha gente estaba aprendiendo a crear sus propios videos, encontrando nuevos casos de uso a medida que avanzaban. Los foros sobre Deepfakes fueron inmensamente populares, los cuales fueron inmediatamente capitalizados por los coinminers . Y en algún momento, una versión fácil de usar de la tecnología Deepfake fue incluida con un cryptominer .

La tecnología

Los efectos de Deepfake se logran usando una tecnología de aprendizaje profundo llamada autoencoder. La entrada se comprime, o se codifica, en una pequeña representación. Se pueden usar para reproducir la entrada original para que coincidan con las imágenes anteriores en el mismo contexto (aquí, es el video). Sin embargo, los creadores necesitan suficientes datos relevantes para lograr esto. Para crear una imagen de Deepfake, el productor reproduce la cara B mientras usa la cara A como entrada. Entonces, mientras el propietario de la cara A está hablando en el lado de la persona que llama en la llamada de Skype, el receptor ve la cara B haciendo los movimientos. El receptor observará la llamada como si B fuera quien hablara.

Cuantas más imágenes de la persona en cuestión podamos alimentar el algoritmo, más realistas serán las expresiones faciales de la imitación.

Dado que ya existe una IA que puede entrenarse para imitar una voz después de escucharla durante aproximadamente un minuto, no parece que pasará mucho tiempo antes de que el imitador de voz pueda ser reemplazado por otra rutina que repita las oraciones de la persona que llama. una imitación razonable de la voz que el receptor asocia con la cara en la pantalla.

Casos de abuso

Como se mencionó anteriormente, la tecnología se utilizó por primera vez para reemplazar a los actores de las películas pornográficas con celebridades. También hemos visto algunos ejemplos de cómo esta tecnología podría usarse para crear » noticias falsas y profundas «.

Entonces, ¿cuánto tiempo les tomará a los estafadores hacer el truco para crear engaños elaborados , material promocional falso y llevar a cabo fraudes realistas?

Los engaños y otras noticias falsas son lo suficientemente dañinos como lo son en el estado actual de las cosas. Por naturaleza, las personas se inclinan a creer lo que ven. Si pueden verlo «en video» con sus propios ojos, ¿por qué lo dudarían?

Es posible que la historia sobre la transmisión de «La Guerra de los Mundos» y el pánico resultante sean divertidos, pero estoy bastante seguro de que más de un millón de personas que fueron golpeadas por el pánico no estarían de acuerdo con usted. Y eso fue sólo una transmisión de radio. Imagine algo similar con “material de archivo en vivo” y utilizando las caras y voces de sus presentadores de noticias favoritos (o, mejor dicho, sus imitaciones convincentes). Imagínese si los actores de la amenaza pudieran simular un ataque terrorista o disparos en masa. Hay muchas más posibilidades nefastas.

Contramedidas

La Agencia de Proyectos de Investigación Avanzada de la Defensa (DARPA, por sus siglas en inglés) es consciente de los peligros que puede plantear Deepfakes.

“Si bien muchas de las manipulaciones son benignas, se realizan por diversión o por valor artístico, otras son para fines de confrontación, como propaganda o campañas de desinformación.

Esta manipulación de los medios visuales está habilitada por la disponibilidad a gran escala de sofisticadas aplicaciones de edición de imágenes y video, así como por los algoritmos de manipulación automatizados que permiten la edición en formas que son muy difíciles de detectar ya sea con el análisis de imágenes actual y las herramientas forenses de medios visuales. . Las herramientas forenses utilizadas hoy en día carecen de robustez y escalabilidad, y abordan solo algunos aspectos de la autenticación de medios; no existe una plataforma de extremo a extremo para realizar un análisis forense completo y automatizado «.

DARPA ha lanzado el programa MediFor para estimular a los investigadores a desarrollar tecnología que pueda detectar manipulaciones e incluso proporcionar información sobre cómo se realizaron las manipulaciones.

Una de las señales que los investigadores ahora buscan cuando intentan descubrir un video documentado es la frecuencia con la que la persona del video parpadea. Cuando una persona normal parpadea cada pocos segundos, una imitación de Deepfake podría no hacerlo, o no lo suficiente como para ser convincente. Una de las razones de este efecto es que las imágenes de personas con los ojos cerrados no se publican mucho, por lo que tendrían que usar secuencias de video reales como entradapara obtener la frecuencia de parpadeo correcta.

A medida que avance la tecnología, indudablemente veremos mejoras tanto en el lado imitativo como en el defensivo. Lo que ya parece evidente es que tomará más que un ojo entrenado para reconocer los videos de Deepfake; necesitaremos algoritmos de aprendizaje automático para adaptarse.

Anti-video fraude

Con la excepcional velocidad de los desarrollos en el campo de Deepfakes, parece probable que vea un engaño o estafa utilizando este método en un futuro próximo. Tal vez incluso comencemos a utilizar software especializado contra el fraude de video en algún momento, de la misma manera en que nos hemos acostumbrado al uso de la protección antispam y antimalware.

Manténgase seguro y esté atento!

Tim Cotten , un desarrollador de software de Washington, DC, estaba respondiendo a una solicitud de ayuda de una colega la semana pasada, que creía que su cuenta de Gmail había sido pirateada, cuando descubrió algo falso . La evidencia presentada fue varios correos electrónicos en su  carpeta de Enviados , supuestamente enviados por ella a sí misma.

Cotten se quedó atónito cuando, tras el diagnóstico inicial, descubrió que los correos electrónicos enviados no provenían de su cuenta, sino de otra, que Gmail, que es el servicio de correo electrónico organizado, solo se archiva en su carpeta Enviados . ¿Por qué haría eso si el correo electrónico no fuera de ella? Parece que mientras la tecnología de filtrado y organización de Google funcionó a la perfección, algo salió mal cuando Gmail trataba de procesar los mensajes de correo electrónico  A partir de campos.

Este truco es un placer para los phishers.

Cotten anotó en una publicación del blog que el encabezado De de los correos electrónicos en la carpeta Enviados de su compañero de trabajo  contenía (1) la dirección de correo electrónico del destinatario y (2) otro texto, generalmente un nombre, posiblemente para una mayor credibilidad. La presencia de la dirección del destinatario provocó que Gmail moviera el correo electrónico a la carpeta Enviados y que ignorara la dirección de correo electrónico del remitente real.

Encabezado extraño «De». Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

¿Por qué un delincuente cibernético elaboraría un correo electrónico que nunca termina en la bandeja de entrada de una víctima? Esta táctica es particularmente útil para una campaña de phishing que se basa en la confusión del destinatario.

“Imagine, por ejemplo, el escenario en el que se podría crear un correo electrónico personalizado que imita los correos electrónicos anteriores que el remitente ha enviado legítimamente y que contiene varios enlaces. Una persona podría, al querer recordar cuáles eran los enlaces, regresar a su carpeta enviada para encontrar un ejemplo: ¡desastre! ”, Escribió Cotten.

Cotten proporcionó una demostración de Bleeping Computer en la que mostró un remitente potencialmente malintencionado falsificando el campo De mostrando un nombre diferente al destinatario. Esto puede generar una alta rotación de víctimas si se usa en una campaña fraudulenta por parte del CEO / correo electrónico comercial (BEC), anotaron.

Después de alertar sobre este error, Cotten, sin saberlo, abrió las compuertas para que otros investigadores de seguridad presenten sus errores descubiertos de Gmail. Eli Gray , por ejemplo, compartió el descubrimiento de un error en 2017 que permitió la suplantación de correos electrónicos, que se corrigió en la versión web de Gmail pero sigue siendo un defecto en la versión de Android. Un comentarista del foro  afirmó que la aplicación de correo de iOS también tiene la misma falla.

Otra agita el polvo.

Días después de revelar públicamente el error de Gmail, Cotten descubrió otra falla en la que los actores maliciosos pueden ocultar los detalles del remitente en el encabezado De al forzar a Gmail a mostrar un campo completamente en blanco.

¿Quién es el remitente? Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

Lo logró al reemplazar una parte de su caso de prueba por una cadena de código larga y arbitraria, como puede ver a continuación:

La cuerda. Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

Los usuarios promedio de Gmail pueden tener dificultades para revelar el verdadero remitente porque al hacer clic en el botón Responder y la opción «Mostrar original» aún aparece un campo en blanco.

El remitente sin nombre. Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

¡No hay nada allí! Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

La falta de detalles del remitente podría aumentar la posibilidad de que los usuarios abran un correo electrónico malicioso para hacer clic en un enlace incrustado o abrir un archivo adjunto, especialmente si contiene un tema que sea tanto procesable como urgente.

Cuando se encontró con el silencio

Las vulnerabilidades de Gmail que se mencionan en esta publicación están relacionadas con la experiencia del usuario (UX) y, hasta el momento, Google aún no las ha abordado. (Cotten ha propuestouna posible solución para el gigante tecnológico). Desafortunadamente, los usuarios de Gmail solo pueden esperar las correcciones.

Detectar intentos de phishing o correos electrónicos falsificados puede ser complicado, especialmente cuando los cibercriminales pueden penetrar en fuentes confiables, pero un poco de vigilancia puede recorrer un largo, largo camino.

Umbro, la popular marca de ropa deportiva, ha tenido su sitio web Umbro Brasil pirateado e inyectado con no uno sino dos skimmers web parte del grupo Magecart.

Magecart se ha convertido en un nombre familiar en los últimos meses debido a los ataques de alto perfil en varios sitios web de comerciantes. Los delincuentes pueden robar sin problemas el pago y la información de contacto de los visitantes que compran productos o servicios en línea.

Múltiples actores de amenazas están compitiendo en diferentes escalas para obtener su parte del pastel. Como resultado, hay muchos scripts y grupos de skimming web que se centran en tipos particulares de comerciantes o áreas geográficas.

Por ejemplo, en este compromiso de Umbro Brasil, uno de los dos scripts de skimming comprueba la presencia de otro código de skimming y, si está presente, modificará ligeramente el número de tarjeta de crédito que ingresó la víctima. Efectivamente, el primer skimmer recibirá números de tarjeta de crédito incorrectos como un acto directo de sabotaje.

Dos skimmers van de cabeza a cabeza

El sitio web de Umbro Brasil ( umbro.com [.] Br ) ejecuta la plataforma de comercio electrónico Magento. El primer skimmer se carga a través de un dominio falso de la biblioteca BootStrap bootstrap-js [.] Com , recientemente discutido por Brian Krebs . Mirando su código, vemos que se ajusta al perfil de los actores de amenazas predominantemente activos en América del Sur, según un informe reciente de RiskIQ .

1er skimmer con código expuesto a simple vista (condicional con verificación de referencia)

Este skimmer no está ofuscado y filtra los datos en una salida JSON estándar. Sin embargo, otro skimmer también está presente en el mismo sitio, cargado desde g-statistic [.] Com . Esta vez, está muy ofuscado como se ve en la siguiente imagen:

2do skimmer, mostrando una gran burbuja de ofuscación

No hay juego limpio entre los grupos de Magecart

Otro aspecto interesante es cómo el segundo skimmer altera el número de tarjeta de crédito del primer skimmer. Antes de que se envíen los datos del formulario, toma el número de la tarjeta de crédito y reemplaza su último dígito con un número aleatorio.

El siguiente fragmento de código muestra cómo ciertos nombres de dominio activan este mecanismo. Aquí reconocemos bootstrap-js [.] Com, que es el primer skimmer. Luego, se genera un entero aleatorio que va de 0 a 9 para su uso posterior. Finalmente, se quita el último dígito de la tarjeta de crédito y se usa el número aleatorio generado previamente.

Código para intercambiar condicionalmente el último dígito de la tarjeta de crédito (descodificación cortesía de Willem de Groot)

Al manipular los datos, el segundo skimmer puede enviar un número de tarjeta de crédito inválido pero  casi correcto al skimmer de la competencia. Debido a que solo se modificó una pequeña parte, lo más probable es que pase las pruebas de validación y salga a la venta en los mercados negros. Los compradores eventualmente se darán cuenta de que sus tarjetas de crédito compradas no funcionan y no volverán a confiar en ese vendedor.

El segundo skimmer, ahora que es el único que posee el número de tarjeta de crédito válido, utiliza una función especial para codificar los datos que extrata. En cuanto a la solicitud POST, solo podemos ver lo que parece ser un alboroto enviado a su dominio de exfiltración ( nube en línea [.] ):

Datos codificados enviados de vuelta al servidor de exfiltración

Esta situación en la que múltiples infecciones residen en el mismo host no es inusual. De hecho, a menos que se arregle una vulnerabilidad con un servidor web, puede ser propensa a varios compromisos por parte de diferentes perpetradores. A veces pueden coexistir pacíficamente, a veces compiten directamente por los mismos recursos.

El deporte más genial de la ciudad.

Si bien el web skimming ha estado funcionando durante años, ahora se ha convertido en una (re) ocurrencia muy común. El investigador de seguridad Willem de Groot ha agregado datos para sitios web de 40K desde su conteo en 2015. Su estudio también muestra que la reinfección entre sitios de comercio electrónico (20% de tasa de reinfección) es un problema que debe abordarse.

Los propietarios de sitios web que manejan el procesamiento de pagos deben hacer la debida diligencia para asegurar su plataforma manteniendo sus programas y complementos actualizados, así como prestando especial atención a los scripts de terceros.

Los consumidores también deben estar conscientes de esta amenaza cuando compran en línea, incluso si el comerciante es una marca reconocida y de buena reputación. Además de monitorear de cerca sus estados de cuenta bancarios, deben considerar formas en que puedan limitar el daño de retiros maliciosos.

Hemos informado a CERT.br de este compromiso y, aunque los skimmers todavía están en línea, los usuarios de Malwarebytes están cubiertos por nuestro módulo de protección web.

Expresiones de gratitud:

Gracias a Willem de Groot por su ayuda en esta investigación.

IOCs

Skimmers

1er skimmer: bootstrap-js [.] Com
2do skimmer: g-statistic [.] Com

Exfiltración

Dominio exfil del primer skimmer: bootstrap-js [.] Com
2.º dominio exfil del skimmer: onlineclouds [.] Cloud

La semana pasada, en Malwarebytes Labs, descubrimos que TrickBot se convirtió en una de las principales amenazas comerciales , por lo que analizamos con más detalle las novedades .

Con la Navidad a la vuelta de la esquina, la estafa de la hermana secreta regresó .

También abordamos la  seguridad y la privacidad (o la falta de ellas) en las joyas inteligentes , el compromiso de control de tráfico aéreo y  las preocupaciones de seguridad a tener en cuenta  al automatizar su negocio.

Otras noticias de ciberseguridad.

• 3.9 mil millones de registros fueron expuestos debido a fallas en los primeros 9 meses de 2018. (Fuente: Help Net Security)
• Debido a la decisión de Facebook de abordar la propaganda, se pidió a los actores maliciosos que  secuestraran las cuentas de las redes sociales . (Fuente: Blog de seguridad desnuda de Sophos)
• Cuentas de alto perfil secuestradas en Twitter para lanzar estafas de criptomonedas . (Fuente: Graham Cluley Security News)
• Nueva cepa evasiva de ransomware, Dharma , salió a la luz. (Fuente: Inteligencia de seguridad)
• La información de la caridad y los partidarios de los partidos políticos, y los compradores en línea en los Estados Unidos  se filtró silenciosamente . (Fuente: Bloomberg)
• Conoce a la Compañía Blanca , una nueva APT poderosa. (Fuente: CSO Online)
• El servidor Voxox expuso una base de datos de millones de SMS , que incluye códigos de dos factores y enlaces de restablecimiento de contraseña, entre otros. (Fuente: TechCrunch)
• Facebook actualiza su comunidad con respecto a cómo lo están haciendo en el cumplimiento de las normas. (Fuente: Facebook Newsroom)
• Hawkeye keylogger aprovecha una antigua vulnerabilidad de MS Office para robar credenciales y contenido del portapapeles. (Fuente: Inteligencia de seguridad)
• Bruce Schneier cree que el software de parches está fallando y explica por qué. (Fuente: placa base)

¡Mantente a salvo, todos!

La automatización es una opción cada vez más atractiva para las empresas, especialmente cuando los que están en operaciones están en un ciclo perpetuo de «demasiado por hacer y no hay suficiente tiempo para hacerlo».

Al considerar una estrategia de automatización, los representantes comerciales deben estar conscientes de los riesgos de seguridad involucrados. Aquí hay seis preocupaciones que los administradores de red y otros miembros del personal de TI deben tener en cuenta.

1. Uso de la automatización para la ciberseguridad en formas contraproducentes.

Los equipos de ciberseguridad en muchas organizaciones están demasiado extendidos, acostumbrados a asumir tantas responsabilidades que su productividad general disminuye. La automatización de algunas tareas de ciberseguridad podría proporcionar un alivio muy necesario para los miembros del equipo, siempre que esos empleados utilicen la automatización de manera estratégica.

Por ejemplo, si los miembros del equipo de ciberseguridad automatizan los procedimientos operativos estándar, tendrán más tiempo para evaluar los problemas e investigar posibles vulnerabilidades. Pero, el enfoque debe estar en el uso de la automatización de una manera que tenga sentido para la ciberseguridad, así como en otras partes del negocio. La inteligencia humana sigue siendo necesaria junto con la automatización para identificar mejor las amenazas, analizar patrones y hacer uso rápido de los recursos disponibles. Si construyes defensas pero las dejas desatendidas, eventualmente los enemigos van a abrirse paso.

2. Dando a demasiadas personas acceso a servicios de pago automático.

Olvidarse de pagar una factura a tiempo es embarazoso y puede afectar negativamente el acceso de una empresa a las líneas de crédito. Afortunadamente, las empresas pueden utilizar numerosos servicios automáticos de pago de facturas para deducir los montos necesarios cada mes, a menudo en un día específico.

Tomar ese enfoque evita que los representantes comerciales tengan que sacar regularmente las tarjetas de crédito de sus billeteras y escribir manualmente los números en formularios. Sin embargo, es una buena práctica restringir la cantidad de personas que pueden configurar esos pagos y verificar que se realizan.

De lo contrario, si hay problemas con un pago, será muy difícil investigar qué salió mal. Además, existe la posibilidad de amenazas internas, como un empleado descontento o alguien que busca vengarse después de la terminación. Los usuarios malintencionados podrían acceder a un servicio de pago y cambiar los programas de pago, eliminar métodos de pago, retirar grandes cantidades o causar estragos.

3. Pensar que la automatización es infalible.

Una de las cosas especialmente útiles de la automatización es que puede reducir la cantidad de errores que cometen las personas. Las estadísticas indican que casi el 71 por ciento de los trabajadores reportan estar desconectados en la oficina. Las tareas repetitivas a menudo son las culpables, y la automatización podría reducir el aburrimiento que sienten las personas (y los errores que cometen) al relegarlas a proyectos más desafiantes.

Independientemente de la forma en que usan la automatización, los administradores de TI no deben tener la costumbre de creer que las herramientas automáticas son infalibles y no es necesario verificar los errores. Por ejemplo, si una empresa utiliza la automatización para tratar el contenido relacionado con las finanzas, como las facturas, no debe adoptar un enfoque relajado para mantener segura esa información solo porque una herramienta está manejando la tarea.

En todas las responsabilidades que implican mantener la seguridad de los datos, los seres humanos aún desempeñan un papel vital para garantizar que las cosas funcionen como deberían. Después de todo, las personas son las que configuran los procesos que lleva a cabo la automatización, y esas personas también podrían haber cometido errores.

4. No tener en cuenta GDPR

El Reglamento general de protección de datos (GDPR) entró en vigencia en mayo de 2018 y determina cómo las empresas deben tratar los datos de los clientes en la Unión Europea. Estar en violación podría resultar en multas sustanciales para las empresas, sin embargo, algunas compañías ni siquiera saben que están haciendo algo mal.

Mantener la información en una base de datos de gestión de relaciones con el cliente (CRM) podría mantener el cumplimiento de GDPR ayudando a las empresas a tener registros precisos y actualizados de sus clientes, haciendo que sea más fácil garantizar que tratan esa información de manera adecuada. Como el GDPR otorga a los clientes numerosos derechos , incluido el derecho a que se borren los datos o el derecho a que los datos se almacenen pero no se procesen, cualquier herramienta de automatización seleccionada por una organización debe ser lo suficientemente ágil para satisfacer esas solicitudes.

La automatización, ya sea lograda a través de una herramienta CRM o de otra manera, puede ayudar a las compañías a alinearse mejor con las regulaciones de GDPR. De hecho, es esencial que las empresas no pasen por alto GDPR cuando eligen formas de automatizar procesos.

5. No usar las mejores prácticas con los administradores de contraseñas

Los administradores de contraseñas son increíblemente convenientes y seguros porque almacenan, cifran y completan automáticamente las contraseñas adecuadas para cualquier número de cuentas respectivas, siempre que los usuarios conozcan la contraseña maestra correcta. Algunos de ellos incluso automatizan el llenado de los detalles de facturación almacenando la información de pago en carteras seguras en línea.

Sin embargo, hay formas incorrectas de utilizar los administradores de contraseñas  para fines comerciales o personales. Por ejemplo, si una persona elige una contraseña maestra que ya ha usado en muchos otros sitios o comparte esa contraseña con otros, ha rechazado el propósito del administrador de contraseñas. Elegir un administrador de contraseñas con autenticación multifactor es nuestra recomendación para la forma más segura de iniciar sesión en sus cuentas.

Sin duda, es conveniente visitar un sitio y hacer que complete automáticamente su contraseña con un solo clic. Pero, los administradores de contraseñas solo funcionan según lo previsto cuando los empleados las usan correctamente.

6. Ignorar las notificaciones para actualizar el software de automatización.

Muchas herramientas de automatización muestran mensajes emergentes cuando hay nuevas actualizaciones de software disponibles. A veces, las actualizaciones solo incluyen nuevas características, pero es común que solucionen errores que podrían comprometer la seguridad. Cuando el objetivo es sumergirse en el trabajo y hacer todo lo posible, tomarse unos minutos para actualizar el software de automatización no siempre es una opción atractiva.

Pero, si el software obsoleto termina provocando un ataque y comprometiendo los registros de los clientes, la gente desearía no postergarlos. Es mejor para las empresas programar un horario, como revisar el software de automatización en busca de actualizaciones en un día particular cada mes ( por ejemplo, el martes de parches ).

Afortunadamente, muchos títulos de software permiten a las personas elegir el tiempo deseado para que se realice la actualización, o, en esencia, automatizar el mantenimiento del software de automatización. Luego, los usuarios pueden configurar el software para que se actualice fuera del horario comercial o durante otros períodos probables de tiempo de inactividad.

La automatización es ventajosa, si la seguridad sigue siendo una prioridad

Si bien la automatización puede ser de gran ayuda para las empresas, también puede presentar riesgos si se utiliza incorrectamente, se descuida o se confía demasiado en ella. Mantenerse al tanto de los problemas relacionados con la seguridad planteados en este artículo ayuda a las organizaciones de todos los tamaños y en todas las industrias a usar herramientas automatizadas de manera segura y eficaz.

La temporada festiva puede ser inminente, pero es una Hermana Secreta de Facebook (no Santa) de la que debes alejarte. Secret Sister ha sido un pilar de las estafas de Yuletide al menos en 2015 , y ha regresado una vez más . ¿Pero, qué es esto?

Su oficina probablemente tiene un esquema de Santa Secreto en su lugar. Sacas nombres de un sombrero y secretamente le compras un regalo a la persona nombrada. Todo es bastante sencillo, y una gran fuente de desodorantes y utensilios de cocina novedosos no deseados. La Hermana Secreta no es tan buena, y podría dejarte en una gran cantidad de problemas. Probablemente ni siquiera conseguirás el desodorante.

Cómo funciona la estafa

Por lo general, las letras en cadena de la variedad Secret Sister se atascan a través de la puerta principal. En este caso, la letra de la cadena aterriza en su buzón digital en oposición a la real. En teoría, podría recibir uno de estos en cualquier lugar, y las personas han informado que los recibieron en cualquier lugar, desde Reddit y Facebook a varios portales sociales y foros. Por la razón que sea, Facebook parece ser el lugar favorito del estafador para hacer rodar la pelota en esta estafa en particular. La posibilidad de poder enviarlo haciendo ping alrededor de grandes cadenas de conexión social es demasiado buena para resistirla.

Muestra de hermana secreta 

Los mensajes pueden variar enormemente, pero uno de los más populares que se remonta a un año o menos dice lo siguiente:

¿Alguien interesado en un intercambio de regalos de vacaciones? No me importa dónde vivas, eres bienvenido a unirte. Necesito 6 (o más) damas de cualquier edad para participar en un intercambio de regalos secreto entre hermanas. ¡Solo tienes que comprar UN regalo valorado en $ 10 o más y enviarlo a una hermana secreta y recibirás 6-36 a cambio!

¡Avísame si estás interesado y te enviaré la información!

Por favor, no pida participar si no está dispuesto a gastar los $ 10.

TIS LA TEMPORADA! y se está acercando. COMENTA si estás ENCENDIDO y te enviaré un mensaje privado. Por favor, no comente si no está interesado y no está dispuesto a enviar el regalo.

Puede que suene prometedor para muchas personas que lo lean, pero realmente no te hará mucho bien.

De las cadenas a las pirámides.

Las letras en cadena son esencialmente esquemas piramidales. Los esquemas de pirámide implican canalizar dinero de abajo hacia arriba, beneficiando a los que están arriba y no a muchos otros. Si está allí desde el principio, sus posibilidades de obtener un buen rendimiento aumentan un poco. Para todos los demás, probablemente vas a perder.

Cuando esto se complica es en los EE. UU., Estos esquemas tienden a parecerse al juego. Esto significa que fácilmente podría terminar violando la ley . Desde el sitio web de los inspectores postales de los Estados Unidos:

Son ilegales si solicitan dinero u otros artículos de valor y prometen un retorno sustancial a los participantes. Las cartas en cadena son una forma de juego, y enviarlas por correo (o entregarlas en persona o por computadora, pero enviar dinero por correo para participar) viola el Título 18, Código de los Estados Unidos, Sección 1302, el Estatuto de la Lotería Postal

Datos de la hermana secreta

Definitivamente no recibirás un montón de regalos gratis. Sin embargo, podría ser arrastrado a algún tipo de estafa postal dudosa con sanciones por fraude de correo en su lugar. También existe el riesgo de robo de identidad a considerar. Los estafadores de fraude de correo suelen pedir información personal. Podría terminar dándoles su nombre, dirección, número de teléfono, junto con una variedad de perfiles en línea para vincularlos. Esto podría ser todo lo que un criminal emprendedor necesita para hacer algún daño adicional, especialmente si persisten en expandirse desde tu perfil a los de tus amigos.

No importa cuán atractiva sea la posibilidad de que los regalos gratis y fáciles suenen a medida que 2018 se acerca lentamente a su fin, no se deje engañar. Estos tipos de travesuras han existido por mucho tiempo , y mudarse al reino digital no los hace más seguros. Si no tiene su sede en los EE. UU., Es posible que no tenga la preocupación legal con la que lidiar como resultado, pero eso es poco consuelo.

Nuestro consejo es apegarse a Secret Santa y no darle nada más que a su hermana Devolución al remitente.

Emery estuvo mirando fijamente la pantalla de su computadora durante casi una hora, con los ojos desteñidos mientras el anuncio de página completa en Motiv aparecía una vez más. Estaba contemplando si se rendiría y le regalaría a su novio Ben un nuevo rastreador de ejercicios como regalo para su próxima maratón. La aplicación de teléfono que estaba usando actualmente funcionaba, pero Ben nunca se acostumbró a usar su iPhone en su brazo. De hecho, el peso de lo distrajo.

Emery pensó que algo ligero, resistente y discreto era lo que necesitaba como reemplazo. Y el Anillo Motiv, en elegante gris pizarra, por supuesto, parecía ser la mejor opción. Pero por $ 199, ella inmediatamente dio un paso atrás. Es cierto que el precio la tentó a volver a las opciones más baratas.

Alcanzando su taza de café, Emery recordó el peso del Ela Bangle alrededor de su muñeca. Ben se lo había regalado como un regalo de bienvenida después de su misión médica de dos semanas. Lo había llamado un relicario inteligente, uno que no puedes usar alrededor de tu cuello. Sabía que ella sentía nostalgia fácilmente, por lo que Emery estaba extasiada cuando Ben le había mostrado fotos y mensajes de audio cercanos y caros para ella, todos guardados en su piedra redondeada.

Al menos eso fue lo que decía el folleto. En realidad, sus archivos personales estaban almacenados en la nube asociada con la Ela.

A pesar de que Emery solo podía hablar sobre su relicario inteligente, no pudo evitar preguntarse si alguien más podría ver sus archivos. Ella es tan experta en tecnología como la siguiente enfermera en su sala, pero las historias de piratería, información robada y archivos bloqueados se discutían con frecuencia en el hospital, lo que le hizo darse cuenta de que poseer tecnología de una industria naciente puede poner a uno en una posición precaria.

Emery y su situación actual pueden ser ficticias, pero su dilema es real. Las joyas inteligentes tienen un atractivo real, pero no están exentas de riesgos para la seguridad y la privacidad.

Independientemente de lo que los enamoró, los compradores potenciales deberían considerar este detalle significativo antes de decidirse: los datos. Principalmente, lo que sucede con los datos permite que sus joyas inteligentes puedan monitorear, recopilar, analizar y almacenar. ¿Se puede acceder, recuperar, transportar o usar, cualquiera que tenga las habilidades? ¿Se podrían filtrar los datos en un accidente o debido a la simple manipulación de ciertos elementos (como aumentar la identificación del usuario)? Estas son algunas preguntas que debemos seguir haciéndonos a nosotros mismos en esta era de violaciones .

No solo eso, la información recopilada sobre la salud y el bienestar de una persona es otro tesoro que debe estar bajo la protección de un estatuto como HIPAA, pero no lo es. No es de extrañar que los legisladores y los que trabajan en los sectores de la ciberseguridad y la privacidad hayan expresado su preocupación por la evidente falta de seguridad no solo de la tecnología portátil, sino de la Internet de las cosas en su conjunto.

Cómo funciona la joyería inteligente

La joyería inteligente, o joyería portátil, es una forma relativamente nueva de tecnología portátil (WT) capaz de datos de bajo procesamiento. Y al igual que otros WT, generalmente no es un dispositivo independiente. Requiere que una aplicación se combine con su joyería inteligente para que pueda hacer lo que está diseñada para hacer. En pocas palabras, este tándem es cómo funcionan las joyas inteligentes, y los wearables en su conjunto.

Las joyas portátiles que actúan como rastreadores de ejercicios generalmente siguen el modelo estándar a continuación:

• Rastreo de datos usando sensores en el wearable, como un acelerómetro, giroscopio, rastreador y otros.
• Transmisión de datos desde el dispositivo portátil al teléfono inteligente a través de Bluetooth Low Energy (BLE) o ant plus (ANT +)
• Agregar, analizar, procesar y comparar los datos en el teléfono inteligente.
• Sincronización de datos desde la aplicación del teléfono inteligente a su servidor en la nube a través de una conexión a Internet.
• Presentación de datos al usuario a través del smartphone.

El procesamiento en profundidad y el análisis de datos también ocurren en la nube. Los fabricantes ofrecen este servicio adicional a los usuarios como una opción. Como puede ver, así es como los proveedores de servicios monetizan los datos.

Hoy en día, las joyas inteligentes se están convirtiendo en algo más que un simple rastreador de ejercicios. Algunos ya funcionan como una extensión del teléfono inteligente, brindando notificaciones sobre las llamadas entrantes y nuevos mensajes de texto y correos electrónicos. Otros se pueden usar para controlar el sueño o la apnea del sueño , grabar la voz, compartir y comunicarse con manos libres, abrir puertas o pagar compras. Una pequeña cantidad de joyas inteligentes puede incluso actuar como dispositivo de seguridad personal, pase de tren o autobús, tarjeta bancaria o llave de puerta inteligente .

Pero mientras la joyería se vuelve más deslumbrante y el procesador, la computadora central de la joyería portátil, se vuelve más inteligente con el tiempo, es probable que uno pregunte: ¿Se está volviendo más segura la joyería inteligente? ¿Está protegiendo mi privacidad?

Desafortunadamente, la respuesta contundente y contundente a ambos es «no».

Los desafíos de seguridad y privacidad que enfrentan las joyas inteligentes.

Debido al tamaño del procesador, una necesidad para hacer que los wearables sean livianos, relativamente económicos y aptos para la producción en masa, los fabricantes ya están limitados de agregar cualquier medida de seguridad. Este es un problema inherente en la mayoría de los dispositivos portátiles.

De hecho, es seguro decir que algunas vulnerabilidades o fallas de seguridad que encontramos en los dispositivos portátiles también se pueden encontrar en las joyas inteligentes.

En el documento de investigación titulado “ Análisis de vulnerabilidades de seguridad y privacidad de los dispositivos portátiles ” , Ke Wan Ching y Manmeet Mahinderjit Singh, investigadores de la Universiti Sains Malaysia (USM), han presentado varias debilidades y limitaciones en los dispositivos portátiles que hemos agrupado en los principales las categorías Estos son:

• Poco o sin autenticación.  La mayoría de los wearables no tienen forma de autenticar o verificar que la persona que accede a ellos o los usa es quien dice ser. Estos dispositivos son susceptibles a ataques de inyección de datos, ataques de denegación de servicio (DoS) y cortes de descarga de batería. En el caso de los gadgets que tienen un esquema de autenticación, el sistema no es lo suficientemente seguro. Esto podría ser rápidamente aprovechado por los ataques de fuerza bruta .
• Leaky BLE. Debido a esto, las personas con malas intenciones pueden rastrear fácilmente a los usuarios que usan joyas inteligentes. Y si una ubicación puede determinarse con facilidad, la privacidad también se ve comprometida. Otros ataques de Bluetooth que pueden funcionar contra dispositivos portátiles son las escuchas ilegales, la vigilancia y los ataques de intermediarios (MiTM) .
• Fuga de información. Si la ubicación de uno puede determinarse con una precisión milimétrica, es posible que los piratas informáticos puedan recoger  información de identificación personal (PII) y otros datos con la misma facilidad. La fuga de información también conduce a otros ataques de seguridad, como el phishing .
• Falta de encriptación. Se sabe que algunos wearables envían y reciben datos en o desde la aplicación en texto sin formato. Es muy probable que la joyería inteligente también esté haciendo esto.
• Falta o incompleta política de privacidad. Algunos fabricantes de joyas inteligentes dejan en claro lo que hacen con la información que recopilan de los usuarios que visitan su sitio web. Sin embargo, apenas mencionan lo que hacen a los datos más personales que reciben de sus dispositivos portátiles y de su aplicación. Su política de privacidad no (o rara vez) dice qué se recopila, cuándo se recopilan los datos, para qué se utilizarán los datos o durante cuánto tiempo se pueden conservar los datos.
• Sesión insegura. Los usuarios pueden acceder a sus joyas inteligentes a través de su aplicación, y su aplicación guarda las cuentas de los usuarios. La administración basada en cuentas está en riesgo si su debilidad está en la forma en que administra las sesiones. Los atacantes podrían adivinar las cuentas de usuario para secuestrar sesiones o acceder a los datos que pertenecen al usuario.

También es importante tener en cuenta que, a diferencia de los teléfonos inteligentes y otros dispositivos móviles, los propietarios de joyas inteligentes no tienen forma de rastrear sus joyas portátiles en caso de que pierdan o se pierdan accidentalmente.

Cómo los fabricantes de joyas inteligentes están abordando los desafíos

La introducción de la Unión Europea del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) ha creado un efecto de tsunami en organizaciones de todas las industrias en todo el mundo. Los fabricantes de dispositivos portátiles no son una excepción. Es posible que los propietarios de relojes inteligentes, pulseras inteligentes y otros dispositivos portátiles ya hayan notado algunos ajustes en las políticas de privacidad que acordaron, y esto es algo bueno.

Cuando se trata de seguridad y privacidad, para sorpresa de muchos, no están totalmente ausentes de las joyas inteligentes. Los fabricantes reconocen que los dispositivos portátiles se pueden usar para proteger datos y cuentas. También entienden que sus wearables necesitan ser asegurados. Y una pequeña cantidad de organizaciones ya están tomando medidas.

Motiv, el ejemplo que usamos en nuestra narrativa introductoria, ya ha incorporado en sus dispositivos esquemas de autenticación biométricos y de dos factores, que recientemente revelaron en una publicación de blog . El anillo Motiv ahora incluye una función llamada WalkID, un proceso de verificación que controla el modo de andar del usuario. Se ejecuta continuamente en segundo plano, lo que significa que WalkID verifica regularmente la identidad del usuario. El anillo también puede servir ahora como una capa adicional de protección para las cuentas en línea que están vinculadas a él. En el futuro, Motiv ha prometido a  sus usuarios inicios de sesión sin contraseña, escaneo de huellas dactilares y reconocimiento facial.

Los diamantes y los datos son para siempre

En enero de este año, Ringly, una empresa pionera de joyería inteligente, se despidió de la industria de la tecnología portátil (probablemente para siempre) después de solo cuatro años. Aunque no se reveló por qué, uno no debe tomar esto como un signo de un futuro en disminución para las joyas de vestir. Por el contrario, muchos expertos pronostican una perspectiva abrumadoramente positiva sobre la tecnología portátil. Sin embargo, la industria de los wearables debe hacer un esfuerzo concertado para abordar las muchas debilidades que se encuentran en las modernas joyas inteligentes.

Entonces, ¿deberías morder la bala y derrochar algunas joyas inteligentes?

La respuesta todavía depende de para qué la necesitas. Y si tiene la intención seria de obtener uno, recuerde que hay medidas de seguridad que puede tomar para minimizar esos riesgos. Actualizar regularmente la aplicación y el firmware, aprovechando los modos de autenticación adicionales si están disponibles, usar contraseñas seguras, nunca compartir su PIN y desactivar el Bluetooth cuando no sea necesario son solo algunas sugerencias.

Cómo elegir entre las opciones de joyería inteligente también juega un papel clave en la seguridad. Asegúrese de seleccionar una marca que tome en serio la seguridad y lo muestre mejorando continuamente las fallas y los problemas de privacidad que mencionamos anteriormente. La tecnología de primera generación es siempre insegura. Lo que los consumidores deben tener en cuenta son las mejoras futuras, no solo en el aspecto y las funcionalidades, sino también en cómo se protege a sí mismo y a sus datos.

Por último, está bien esperar. Seriamente. No tiene que tener el último anillo, collar o pulsera inteligente si no cuida sus datos o lo deja abierto a los piratas informáticos. Sería prudente conformarse con otras alternativas que aborden sus necesidades, en primer lugar, y coordinarlas con su atuendo en segundo lugar. Después de todo, la industria de la joyería inteligente es relativamente joven, por lo que todavía tiene un largo camino por recorrer. Y con cada avance, solo podemos esperar que las joyas inteligentes cuenten con medidas de seguridad más sólidas e implementaciones de políticas amigables con la privacidad.

En cuanto a los wearables en el entorno empresarial , bueno, esa es otra historia.

Trojan.TrickBot ha estado presente en el panorama de amenazas desde hace bastante tiempo. Escribimos sobre su primera versión en octubre de 2016 . Desde el principio, era un malware modular bien organizado, escrito por desarrolladores con habilidades maduras. A menudo se le llama banquero, sin embargo, su estructura modular permite agregar libremente nuevas funcionalidades sin modificar el robot de núcleo. De hecho, la funcionalidad de un banquero está representada solo por uno de muchos de sus módulos .

Con el tiempo, los desarrolladores ampliaron las capacidades de TrickBot mediante la implementación de nuevos módulos, por ejemplo, el que roba las credenciales de Outlook . Pero la evolución del bot del núcleo, que se usó para el despliegue de esos módulos, fue bastante lenta. Los scripts escritos para descodificar módulos de la primera versión funcionaron hasta hace unos meses, lo que demuestra que el esquema de cifrado utilizado para protegerlos permaneció sin cambios.

Octubre de 2018 marca el final del segundo año desde la aparición de TrickBot. Posiblemente los autores decidieron celebrar el aniversario con un cambio de imagen de algunos elementos significativos del núcleo .

Esta publicación será un análisis de la ofuscación actualizada utilizada por el módulo principal de TrickBot.

Analisis de comportamiento

El último TrickBot comienza sus acciones desde la desactivación de la supervisión en tiempo real de Windows Defender. Se realiza mediante la implementación de un comando de PowerShell:

Después de eso, podemos observar comportamientos típicos de TrickBot.

Como antes, el bot principal implementa múltiples instancias de svchost, donde inyecta los módulos.

La persistencia se logra agregando una tarea programada:

Se instala solo en% APPDATA%, en una carpeta con un nombre que depende de la versión del bot.

Los módulos cifrados se almacenan en la carpeta de Datos (nombre antiguo: Módulos), junto con su configuración:

Resulta que, recientemente, el cifrado de los módulos ha cambiado (y tuvimos que actualizar los scripts para decodificar ).

El nuevo elemento en la carpeta de instalación principal es el archivo de configuración, que viene con varios nombres, que parece ser elegido al azar de un grupo codificado. Es el nombre que aparece con mayor frecuencia es settings.ini (codificado), pero hay otras variantes, como: profiles.ini, SecurityPreloadState.txt, pkcs11.txt. El formato del archivo parece nuevo para TrickBot:

Podemos ver muchas cadenas, que a primera vista parecen codificadas / encriptadas. Pero como resultado, son entradas basura que se agregan para ofuscación. La configuración real se almacena entre ellos, en una cadena que parece codificada en base64. Su significado se explicará en la parte posterior de este post.

Dentro

Para comprender mejor los cambios, necesitamos profundizar en el código. Como siempre, la muestra original viene empaquetada, esta vez hay dos capas de protección que deben eliminarse antes de que obtengamos el robot principal .

El bot principal viene con 2 recursos: RES y DIAL, que son analógicos a los recursos utilizados anteriormente.

RES – es un archivo de configuración encriptado, en formato XML. Está cifrado de la misma manera que antes (usando AES, con clave derivada mediante rondas de hashing), y podemos decodificarlo usando un script antiguo: trickbot_config_decoder.py . (Tenga en cuenta que el primer DWORD en el recurso es un tamaño y no una parte de los datos cifrados, por lo que debe eliminarse antes de usar el script).

DIAL: es una clave pública de curva elíptica (curva ECC p-384), que se utiliza para verificar la firma de la configuración cifrada mencionada, después de que se descifre.

Ofuscación

En la primera edición , TrickBot no estaba del todo confuso, incluso podíamos encontrar todas las cadenas claras. Durante los dos años de evolución, ha cambiado lentamente. Hace varios meses, los autores decidieron ofuscar todas las cadenas, utilizando un algoritmo personalizado (basado en base64). Todas las cadenas ofuscadas se agregan a partir de una única lista codificada:

Cuando se necesita alguno de ellos, se selecciona por su índice y se pasa a la función de decodificación:

Ejemplo – cadena buscada por el índice 162 :

El proceso de deofuscación, junto con la utilidad utilizada , se describió aquí . Debido al hecho de que la API de las funciones de decodificación no cambió desde entonces, se puede utilizar el mismo método hasta hoy. La lista de cadenas deofuscado, extraída de la muestra analizada actualmente se puede encontrar aquí .

Además, podemos encontrar otros métodos más populares de ofuscación de cuerdas. Por ejemplo, algunas de las cadenas que se dividen en trozos, un DWORD por cada uno:

El mismo método fue utilizado por GandCrab, y se puede desenfocar con el siguiente script t.

Del mismo modo, las cadenas de Unicode se dividen:

La mayoría de las importaciones utilizadas por TrickBot se cargan dinámicamente. Eso hace que el análisis estático sea más difícil, porque no podemos ver directamente la imagen completa: los punteros se recuperan justo antes de que se usen.

Podemos resolver este problema de varias maneras, es decir, agregando etiquetas mediante un trazador automático . El archivo CSV / tags creado para una de las muestras analizadas está disponible aquí (se puede cargar en la base de datos de IDA con la ayuda del complemento IFL ).

La imagen que se muestra a continuación muestra el fragmento del código de TrickBot después de cargar las etiquetas. Como podemos ver, las direcciones de las funciones importadas se recuperan de la estructura interna en lugar de la Tabla de importación estándar, y luego se llaman a través de registros.

Aparte de los métodos de ofuscación mencionados, en el camino de su evolución, TrickBot va en la dirección de aleatorización de cadenas. Muchas cadenas codificadas en las versiones iniciales ahora son aleatorias o generadas por máquina víctima. Por ejemplo, el nombre de exclusión mutua:

Cifrado utilizado

En el pasado, los módulos estaban encriptados por AES en modo CBC . La clave utilizada para el cifrado se derivó del hashing de bytes iniciales del búfer . Una vez que conocemos el algoritmo, podríamos descifrar fácilmente los módulos almacenados junto con su configuración.

En la reciente actualización los autores decidieron complicarlo un poco. Sin embargo, no cambiaron el algoritmo principal, solo introdujeron una capa XOR adicional . Antes de pasar los datos a AES, primero se XORed con una cadena de 64 caracteres de longitud generada dinámicamente, a la que nos referiremos como la clave del bot:

La clave bot mencionada se genera por máquina víctima. Primero, se usa la función GetAdapterInfo:

La estructura recuperada (194 bytes) es procesada por SHA256 y luego el hash se convierte en cadena:

El algoritmo reconstruido para generar la clave del bot (y la utilidad para generar las claves) se puede encontrar aquí .

Esta clave se almacena en el archivo de configuración que se ha caído

Configuraciones de codificación

Como se mencionó anteriormente, las nuevas ediciones de TrickBot eliminan un nuevo archivo de configuración, que contiene información codificada. Ejemplo de la información que se almacena en la configuración:

0441772F66559A1C71F4559DC4405438FC9B8383CE1229139257A7FE6D7B8DE9 1085117245 5 6 13

Los elementos:

1. El BotKey (generado por máquina)

2. una suma de comprobación de una cadena de prueba: (0-256 bytes codificados con el mismo conjunto de caracteres): se utiliza para la validación de un conjunto de caracteres

3. tres números aleatorios

La línea completa está codificada en base64 mediante un conjunto de caracteres personalizado, que se genera basándose en el código codificado: «HJIA / CB + FGKLNOP3RSlUVWXYZfbcdeaghi5kmn0pqrstuvwx89o12467MEDyzQjT».

Sin embargo, incluso en este punto podemos ver el esfuerzo de los autores para evitar el uso de patrones repetibles. Los últimos 8 caracteres del conjunto de caracteres se intercambian aleatoriamente. El pseudocódigo del algoritmo de generación:

Aleatorización de los n caracteres:

Ejemplo de la transformación:

inp: “HJIA / CB + FGKLNOP3RSlUVWXYZfbcdeaghi5kmn0pqrstuvwx89o12467 M E Dyz Q jT ”

fuera: “HJIA / CB + FGKLNOP3RSlUVWXYZfbcdeaghi5kmn0pqrstuvwx89o12467 jD E zTy Q M ”

El decodificador se puede encontrar aquí:  trick_settings_decoder.py

Poco a poco mejorando la ofuscación

A los autores de TrickBot nunca les importó mucho la ofuscación. Con el tiempo, lentamente comenzaron a introducir sus elementos, pero, aparte de algunos giros, todavía no es nada complejo. Podemos esperar que esta tendencia no cambie rápidamente, y después de actualizar los scripts para nuevas adiciones, descodificar los elementos de Trick Bot será tan fácil para los analistas como lo fue antes.

Parece que los autores creen en un éxito basado en la cantidad de distribución, en lugar de en intentos de ser sigilosos en el sistema. También se enfocan en agregar constantemente nuevos módulos, para diversificar la funcionalidad (es decir, recientemente, agregaron un nuevo módulo para atacar los sistemas de Punto de Venta ).

Guiones

Scripts actualizados para decodificar módulos TrickBot para analistas de malware: 
https://github.com/hasherezade/malware_analysis/tree/master/trickbot

Indicadores de compromiso

Muestra de hash:

9b6ff6f6f45a18bf3d05bba18945a83da2adfbe6e340a68d3f629c4b88b243a8